光靠一片CD ,18 秒就能挾持汽車？

研究人員發現:利用CD內特別變造的歌曲，把攻擊程式碼植入電腦,車上聽歌可能被駭 !

隨著智慧型聯網汽車開始邁入日益壯大的物聯網世界，目前已有多份研究指出這項新興科技將帶來諸多風險。最近，一位美國加州聖地牙哥 (San Diego) 的研究人員 Stephen Savage 在某款智慧型汽車的車內系統當中發現了一個漏洞，讓他只需在車內音響播放 CD 上的某首歌曲就能駭入該款車輛。

這位加州大學聖地牙哥分校的電腦教授暨首席研究員在舊金山舉行的 Usenix Enigma 研討會上指出：「基本上，只要給我 18 秒鐘的音樂播放時間，我就有辦法插入攻擊程式碼。」Savage 進一步表示，今日的汽車結合了各種第三方與 OEM 廠商的軟體，使得車輛變得很容易遭到入侵。也就是說，車輛所使用的某些系統安全性不足 (例如本案例的娛樂系統)，因而成為駭客可攻擊的目標。

在本案例中，研究人員發現他們只需透過車內音響播放 CD 上一首暗藏惡意程式碼的 .WMA 歌曲，就能駭入並完全掌控該款智慧型汽車。他強調，今日市面上絕大多數的車款都採用了政府規定的 OBD-II 連接埠，因此讓駭客很容易就能對車輛的安全系統進行徹底研究。Savage 表示，由於每一款車輛的作業系統都不盡相同，因此簡單的防火牆並無法解決這項安全漏洞。

這並非第一次汽車成為駭客和網路安全議題的最新討論話題，不但消費者開始產生疑慮，就連車廠也開始擔心。光 2015 年，研究人員就揭發了多個可能造成嚴重後果的安全漏洞，不論是可讓車輛遭到遠端遙控的漏洞，或是可能從遠端開啟門鎖然後竊取車輛的漏洞。

兩名研究人員：Chris Valasek 和 Charlie Miller 在一項車輛駭入示範當中表演如何透過 3G 行動網路來操控一輛新款的 Jeep Cherokee，導致廠商召回 140 萬該車進行維修。在這項實驗之後，研究人員又發現了一個可操控車輛煞車以及其他關鍵系統的漏洞。

針對車廠在確保智慧型車款安全性所該扮演的角色，資深威脅研究分析師 Rainier Link指出：「就車廠而言，他們或許擁有豐富的造車知識，但卻缺乏了 IT 安全常識，因為這對他們來說是個全新的領域。」

原文出處:http://blog.trendmicro.com.tw/?p=16538

圖片來源:https://pixabay.com/